前后端关于密码敏感字段传输方案解析

最新推荐文章于 2024-02-22 09:42:50 发布
最新推荐文章于 2024-02-22 09:42:50 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 信息安全 java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42383970/article/details/126400142
版权

前言:

在开发项目过程中,前后端交互过程中,一些敏感字段如密码等的传输是必不可少的,但是由于对产品以及项目代码安全性的要求逐渐提高,所以敏感字段明文传输已经不可取,需要做一些加密以及摘要操作

初始方案

前端sm3 hash,后端sm3(前端值),回显时密码进行定长变形,但此方案有弊端,因为sm3是无法解开的,所以这个只适合不需要解开的情况,即用户密码,但是我们项目不仅仅涉及到这一处密码,为了统一,决定重新更改方案

完善方案

前端统一使用sm2加密,后端使用sm3或者sm4

用户密码使用sm3,其他需要解开明文的使用sm4

具体流程为:

  • 前端先从后端获取加密公钥,后端可内置初始加密公钥也可让用户自己配置
  • 前端使用sm2(once|timestamp|password)格式进行加密传输
  • 后端接收到之后,验证时间戳,随即进行sm2解密操作,取到密码明文
  • 随即进行sm3 hash+base64入库以及sm4 base64入库

前端还需传送一个是否加密标识,主要为了回显再次提交这块,如果前端未加密,后端直接取数据库原有的值再次入库即可

至于在后端为什么不用sm2加密过的值直接入库,而是先sm2解密再次进行sm4对称加密操作,是为了考虑私钥更改的情况,假如先使用原来公钥加密了密码,但是过了一段时间换了公私钥,那这个密码可能永远就解不开了,所以使用sm4对称加密操作,sm4的密钥是我们固定写死的,所以不管sm2公私钥怎么变,这个密码始终都能解开

 

即将头秃的程序媛
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前台页面敏感数据传输到后台钱的加密处理(md5加密)
03-17
js:(jsp页面引入md5.js文件) var mobile=$("input[name='mobile']").val(); var hash1=hex_md5(mobile); $("input[name='hidmobile']").val(hash1); var password=document.getElementById("password").value; var hash2=hex_md5(password); $("input[name='hidpassword']").val(hash2); java:(java类中引入MD5.java文件) MD5 md5=new MD5(); boolean flag=false; List<User> userlist =jdbc.getUserList("select * from t_activity_product"); for(int i=0;i<userlist.size();i++){ User user =userlist.get(i); if(md5.getMD5ofStr(user.getMobile()).equals(mobile)&&md5.getMD5ofStr(user.getPassword()).equals(password)){ flag=true; request.getSession().setAttribute("USER", user); List<Activity> actList=jdbc.getList("select * from t_activity_product u where u.checkstatus=2 and adminmobile="+user.getMobile()); request.getSession().setAttribute("actList", actList); } }
敏感信息明文传输相关问题小结
热门推荐
18年3月萌新白帽子
12-24 1万+
最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的: 1.我们在做安全测试的时候,经常可以通过Burpsuit抓包看到一些以明文方式呈现的敏感信息,比如在页面登陆处,我们输入账号密码,通过Burpsuit抓包,可以看到如下类似的数据包。   可以看到在数据包中,用户登陆用的账号和密...
浅谈前后端数据加密的方法
最新发布
Zzexi的博客
02-22 721
在实际应用中,通常需要根据具体场景和需求选择合适的加密方法。同时,也需要注意密钥的安全管理和保护,以防止数据泄露和非法访问。
前后端加密传输,采用RSA算法
qq_22266389的博客
08-23 161
【代码】前后端加密传输,采用RSA算法。
前后端密码RSA密文传输
mahou2600的博客
07-25 2653
前后端密码RSA密文传输 hutool包
前后台传输加密,解密
chinaxiaofeng8的专栏
09-10 901
URLEncoder.encode("传智播客","UTF-8"); 取值解码 在前台&lt;% = URLDecoder.decode(new String(request.getParameter("username").getBytes("ISO8859-1"),"UTF-8"),"UTF-8") %&gt;       &lt;% //商品名称
前后端传输加密代码-java
Codewarning
09-09 1796
以下代码均使用RSA加密,适用场景:注册、登录时的密码加密、敏感信息加密等。
jsp隐藏关键敏感字段信息只显示前后字段的示例
10-19
本篇文章主要介绍了jsp隐藏关键敏感信息只显示前后字段的示例 ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
前后端AES加解密信息交互示例(后端JAVA
06-24
前后端通过AES加密进行信息交互的例子,内含前端加解密示例和可运行的JAVA后端jar包示例,并有源代码,有JAVA环境可直接运行。程序启动后展示页面地址http://localhost:8080
laravel5.8 前后端分离 api注册登录请求
01-02
在用户表加api_token字段前后端分离,实现最基本的注册登录api请求,用户注册登录时,需生成一个api_token
oracle中读写blob字段的问题解析
01-21
下面以程序实例说明通过JDBC操纵Oracle数据库LOB类型字段的几种情况。 先建立如下两个测试用的数据库表,Power Designer PD模型如下: 建表SQL语句为:CREATE TABLE TEST_CLOB ( ID NUMBER(3), CLOBCOL CLOB)CREATE
java中AES+BASE64双重加密及解密
ackerhu的博客
05-29 2046
java中AES+BASE64双重加密及解密 话不多说直接上代码,具体细节请看注释。 import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; /** * 加密方法 * @param data 要加密的数据 ...
前后端数据加密传输(附go语言实现)
DisMisPres的博客
03-12 3268
这里做的加密传输,仅仅只能添加破解的复杂性,不能真的保证数据不泄露。所以一般的服务在做数据交互时也并不会刻意去做这种前后端的数据加密,一般性的是做服务器的session或者客户端的cookie校验,来保证数据不泄露,不被篡改。但你要是说我做session校验的token在前端泄露了,那这种也是用户自己的问题(进入黑客网站或其他做了鉴权),服务防不了这种,顶多是增加校验复杂性来让其更加繁琐。所以说在类似付款的操作的时候,都会再进行一次校验(输入密码/验证指纹等),来再做一次权限校验。
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
小王的储物间
12-24 816
public class RSAEncrypt {/** * RSA公钥加密 * @param str 待加密字符串 * @param publicKey 公钥 * @return 密文 */public static String encrypt(String str, String publicKey) {try {//base64编码的公钥byte[] decoded = Base64.decodeBase64(publicKey);
前后端数据传输加密(一)
zengliangxi的专栏
03-31 1万+
1.AES对称加密 a.前端加解密 <script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.min.js"></script> /** * 加密 **/ functionencrypt(value,key) { var tempValue = JSON.stringify(value); var tempKey = CryptoJS.enc.Utf8.parse(key); var...
密码字段通过 GET 方法传输
LuckySec
12-20 1186
密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。
web敏感信息加密实现
weixin_35757531的博客
12-30 235
在 Web 上实现敏感信息的加密通常有以下几种方法: 使用 HTTPS 协议。HTTPS 协议在传输数据时使用了加密技术,可以有效保护数据的安全性。 使用加密算法加密数据。常见的加密算法有 AES、RSA 等,可以将数据加密成不可读的格式。 使用密钥加密数据。密钥加密是一种使用密钥对数据进行加密的方法,密钥可以是任意的字符串。 使用数字证书加密数据。数字证书是一种电子文件,包含了公钥和私钥...
前后端数据加密传输基于AES+RSA实现
孙霸天的专栏
09-03 3510
前后端数据加密传输基于AES+RSA实现,优化升级版本
前后端分离数据传输加解密方案(建议方案二)
zengliangxi的专栏
09-27 7242
前后端分离,接口数据传输加解密
前后端所需要的字段是什么意思
05-05
前端和后端是指网络应用程序中的两个主要组件。前端通常指用户界面,即用户直接与之交互的应用程序部分。后端则是指应用程序的服务器端,用于处理数据和逻辑。前后端之间需要协调数据传输,因此需要定义一些共同的字段前端所需要的字段通常指的是从后端获取的数据,包括数据类型、数据格式、数据长度、数据范围等。前端需要根据这些字段来渲染用户界面,保证数据的正确显示和交互。 后端所需要的字段通常指的是前端请求中所包含的数据,包括请求类型、请求参数、请求头部等。后端需要根据这些字段来处理请求并返回相应的数据或结果。 因此,前后端需要共同协商并定义一些共同的字段,以确保数据的正确传输和处理。这些字段通常在项目的文档中进行定义和说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值